Problematyka zwolnień z obowiązku zgłaszania zbiorów danych osobowych do rejestracji – stan na kwiecień 2016 r.

Files in the storage room

Na przełomie marca i kwietnia dotarły do nas informacje o akcji „Bezpieczna Wiosna dla Klientów”. Akcję prowadzi fikcyjne Stowarzyszenie „Bądźmy Legalni”. Zastraszając odpowiedzialnością karną stara się wymusić zakup usług rejestracji zbiorów danych osobowych. Całą sprawę opisywaliśmy w tym artykule oraz tutaj. Na kanwie tych wydarzeń pragniemy przypomnieć jakie zbiory są zwolnione z rejestracji.

Zgodnie z art. 40 ustawy o ochronie danych osobowych, zwanej dalej „ustawą”, administrator danych ma obowiązek zgłoszenia zbioru danych do rejestracji Generalnemu Inspektorowi Ochrony Danych Osobowych, dalej zwanemu „GIODO”, z wyjątkiem przypadków określonych w art. 43 ust. 1 i ust. 1a ustawy. Oznacza to, że obowiązkowi rejestracji, co do zasady, podlega każdy zbiór danych osobowych, chyba że zachodzi jeden z wyjątków od tej zasady określony w art. 43 ust. 1 i ust. 1a ww. ustawy. Przepisy te przewidują, że z obowiązku rejestracji zbioru danych zwolnieni są administratorzy danych:

  1. zawierających informacje niejawne;
  2. które zostały uzyskane w wyniku czynności operacyjno-rozpoznawczych przez funkcjonariuszy organów uprawnionych do tych czynności;
  3. przetwarzanych przez właściwe organy dla potrzeb postępowania sądowego oraz na podstawie przepisów o Krajowym Rejestrze Karnym;
  4. przetwarzanych przez Generalnego Inspektora Informacji Finansowej;
  5. przetwarzanych przez właściwe organy na potrzeby udziału Rzeczypospolitej Polskiej w Systemie Informacyjnym Schengen oraz Wizowym Systemie Informacyjnym;
  6. przetwarzanych przez właściwe organy na podstawie przepisów o wymianie informacji z organami ścigania państw członkowskich Unii Europejskiej;
  7. dotyczących osób należących do kościoła lub innego związku wyznaniowego, o uregulowanej sytuacji prawnej, przetwarzanych na potrzeby tego kościoła lub związku wyznaniowego;
  8. przetwarzanych w związku z zatrudnieniem u nich, świadczeniem im usług na podstawie umów cywilnoprawnych, a także dotyczących osób u nich zrzeszonych lub uczących się;
  9. dotyczących osób korzystających z ich usług medycznych, obsługi notarialnej, adwokackiej, radcy prawnego, rzecznika patentowego, doradcy podatkowego lub biegłego rewidenta;
  10. tworzonych na podstawie przepisów dotyczących wyborów do Sejmu, Senatu, Parlamentu Europejskiego, rad gmin, rad powiatów i sejmików województw, wyborów na urząd Prezydenta Rzeczypospolitej Polskiej, na wójta, burmistrza, prezydenta miasta oraz dotyczących referendum ogólnokrajowego i referendum lokalnego;
  11. dotyczących osób pozbawionych wolności na podstawie ustawy, w zakresie niezbędnym do wykonania tymczasowego aresztowania lub kary pozbawienia wolności;
  12. przetwarzanych wyłącznie w celu wystawienia faktury, rachunku lub prowadzenia sprawozdawczości finansowej;
  13. powszechnie dostępnych;
  14. przetwarzanych w celu przygotowania rozprawy wymaganej do uzyskania dyplomu ukończenia szkoły wyższej lub stopnia naukowego;
  15. przetwarzanych w zakresie drobnych bieżących spraw życia codziennego;
  16. przetwarzanych w zbiorach, które nie są prowadzone z wykorzystaniem systemów informatycznych, z wyjątkiem zbiorów zawierających dane, o których mowa w art. 27 ust. 1;
  17. którzy powołali administratora bezpieczeństwa informacji i zgłosili go GIODO do rejestracji (z wyjątkiem zbiorów zawierających dane, o których mowa w art. 27 ust. 1 ustawy).

Istnieje również kategoria zbiorów danych, w przypadku których brak obowiązku zgłoszenia ich do rejestracji jest konsekwencją niestosowania wobec nich większości przepisów ustawy. Są to tzw. „zbiory doraźne”, o których mowa w art. 2 ust. 3 ustawy.

Poniżej krótkie omówienie przepisów odnoszących się do zwolnień zbiorów danych z rejestracji, które pozwoli na ich lepsze zrozumienie i prawidłową interpretację. I tak:

Zbiory danych zawierające informację niejawne

Z obowiązku rejestracji zwolnieni są administratorzy danych zawierających informacje niejawne. Przewiduje to art. 43 ust. 1 pkt 1 ustawy.

W celu właściwej interpretacji tego przepisu należy posiłkować się definicją informacji niejawnych zawartą w ustawie z dnia 5 sierpnia 2010 r. o ochronie informacji niejawnych. Zgodnie z art. 1 ust. 1 ww. ustawy są to informacje, których nieuprawnione ujawnienie spowodowałoby lub mogłoby spowodować szkody dla Rzeczypospolitej Polskiej albo byłoby z punktu widzenia jej interesów niekorzystne. Dla oceny tego na potrzeby stosowania ustawy o ochronie danych osobowych, przyjąć należy, że są to informacje, które właściwa osoba sklasyfikowała – na podstawie przepisów ustawy o ochronie informacji niejawnych – jako informacje niejawne, tj. nadała im klauzulę „ściśle tajne”, „tajne”, „poufne” lub „zastrzeżone”.

Administratorami tego typu danych mogą być przede wszystkim podmioty publiczne, ale także przedsiębiorcy, jednostki naukowe lub badawczo-rozwojowe, zamierzające ubiegać się, ubiegające się o zawarcie lub wykonujące umowy związane z dostępem do informacji niejawnych albo wykonujące na podstawie przepisów prawa zadania związane z dostępem do informacji niejawnych.

Zbiory danych, które zostały uzyskane w wyniku czynności operacyjno-rozpoznawczych przez funkcjonariuszy organów uprawnionych do tych czynności

Z obowiązku rejestracji zwolnieni są administratorzy danych, które zostały uzyskane w wyniku czynności operacyjno-rozpoznawczych przez funkcjonariuszy organów uprawnionych do tych czynności, co przewiduje art. 43 ust. 1 pkt 1a ustawy.

Zwolnienie to obejmuje przede wszystkim informacje przetwarzane przez funkcjonariuszy tzw. służb mundurowych, ale także innych służb, np. przez pracowników wywiadu skarbowego, którzy, zgodnie z ustawą z 28 września 1991 r. o kontroli skarbowej, przeprowadzają czynności wywiadu skarbowego, m. in. w formie czynności operacyjno-rozpoznawczych.

Zbiory danych przetwarzanych przez właściwe organy dla potrzeb postępowania sądowego oraz na podstawie przepisów o Krajowym Rejestrze Karnym

Z obowiązku rejestracji zwolnieni są administratorzy danych przetwarzanych przez właściwe organy dla potrzeb postępowania sądowego oraz na podstawie przepisów o Krajowym Rejestrze Karnym. Przewiduje to art. 43 ust. 1 pkt 2 ustawy.

Na podstawie tego przepisu z obowiązku rejestracji zwolnione są zbiory danych prowadzone przez organy ścigania i wymiaru sprawiedliwości (Policja, sądy, prokuratury), ale także zbiory danych prowadzone przez inne organy, które na podstawie przepisów szczególnych są uprawnione do występowania w określonych sprawach w postępowaniu sądowym (np. organy gmin, czy powiatów). Należy zauważyć, iż przepis ten dotyczy wyłącznie podmiotów publicznych, o czym przesądza użyte w nim sformułowanie „właściwe organy”.

GIODO w sprawozdaniu ze swojej działalności w 1999 r. (http://www.giodo.gov.pl/plik/t/pdf/j/pl/id_p/33.pdf, str. 173-175) jako przykłady zgłoszeń, w stosunku do których zawiadomiono administratorów danych o zwolnieniu zbiorów danych z obowiązku rejestracji z racji wystąpienia tej przesłanki, wskazał:

  • zbiory danych przetwarzanych przez komisje rozwiązywania problemów alkoholowych,
  • zgłaszane przez ośrodki adopcyjno-opiekuńcze zbiory danych osobowych przetwarzanych w związku z umieszczeniem dziecka w rodzinie zastępczej,
  • zbiory danych osobowych dotyczące spraw karno-skarbowych,
  • zgłaszane przez gminy zbiory danych osobowych będące rejestrem testamentów,
  • zbiory danych osobowych dotyczące mandatów karnych nakładanych przez strażników gminnych.

Zbiory danych przetwarzanych przez Generalnego Inspektora Informacji Finansowej

Art. 43 ust. 1 pkt 2a ustawy przewiduje, że z obowiązku rejestracji zwolnieni są administratorzy danych przetwarzanych przez Generalnego Inspektora Informacji Finansowej.

Oprócz Generalnego Inspektora Informacji Finansowej takimi administratorami są podmioty będące instytucjami obowiązanymi w rozumieniu ustawy z dnia 16 listopada 2000 r. o przeciwdziałaniu praniu pieniędzy oraz finansowaniu terroryzmu, które prowadzą rejestry określonych ww. ustawą transakcji dla potrzeb Generalnego Inspektora Informacji Finansowej. Stosowne do art. 8 ust. 1 powyższej ustawy instytucja obowiązana przeprowadzająca transakcję, której równowartość przekracza 15.000 euro, ma obowiązek zarejestrować taką transakcję również w przypadku, gdy jest ona przeprowadzana za pomocą więcej niż jednej operacji, których okoliczności wskazują, że są one ze sobą powiązane i zostały podzielone na operacje o mniejszej wartości z zamiarem uniknięcia obowiązku rejestracji. Ponadto, w świetle art. 8 ust. 3 tej ustawy, instytucja obowiązana przeprowadzająca transakcję, której okoliczności wskazują, że może ona mieć związek z praniem pieniędzy lub finansowaniem terroryzmu, ma obowiązek zarejestrować taką transakcję, bez względu na jej wartość i charakter. Informacje o transakcjach, o których mowa w ww. przepisach instytucje obowiązane przekazują Generalnemu Inspektorowi Informacji Finansowej (art. 11 i 12 ww. ustawy). Zdaniem GIODO (źródło: strona internetowa GIODO –http://www.giodo.gov.pl/1520050/id_art/998/j/pl/) zbiory prowadzone przez poszczególne instytucje obowiązane są również zwolnione z obowiązku zgłoszenia do rejestracji, ze względu na to, że instytucje obowiązane prowadzą rejestry transakcji wyłącznie dla potrzeb Generalnego Inspektora Informacji Finansowej, a ich zbiory stanowią integralną część zbioru, którego administratorem jest ww. organ.

Zbiory danych przetwarzanych przez właściwe organy na potrzeby udziału Rzeczypospolitej Polskiej w Systemie Informacyjnym Schengen oraz Wizowym Systemie Informacyjnym

Na mocy art. 43 ust. 1 pkt 2b ustawy, z obowiązku rejestracji zwolnieni są administratorzy danych przetwarzanych przez właściwe organy na potrzeby udziału Rzeczypospolitej Polskiej w Systemie Informacyjnym Schengen oraz Wizowym Systemie Informacyjnym.

Zwolnienie to zostało wprowadzone do ustawy w związku z wejściem w życie ustawy z 24 sierpnia 2007 r. o udziale Rzeczypospolitej Polskiej w Systemie Informacyjnym Schengen oraz Wizowym Systemie Informacyjnym. Ustawa ta określa organy i służby uprawnione do wykorzystywania danych z Systemu Informacyjnego Schengen i Wizowego Systemu Informacyjnego poprzez Krajowy System Informatyczny. W zależności od kategorii osób, których dane dotyczą, kategorii informacji lub realizowanego celu powyższe uprawnienie przysługuje sądom, prokuraturze, Straży Granicznej, Policji, ABW, CBA, Żandarmerii Wojskowej, Służbie Celnej, organom kontroli skarbowej, Agencji Wywiadu, Służbie Kontrwywiadu Wojskowego, Służbie Wywiadu Wojskowego, wojewodom, konsulom, Szefowi Urzędu ds. Cudzoziemców, Ministrowi Spraw Zagranicznych, BOR, organom jednostek wojskowych Sił Zbrojnych RP lub organom samorządowym właściwym w sprawie rejestracji pojazdów.

Jednocześnie, zgodnie z powołaną ustawą, administratorem danych wykorzystywanych przez Krajowy System Informatyczny jest centralny organ techniczny Krajowego Systemu Informatycznego, którym jest Komendant Główny Policji.

Zatem, w/w organy i służby są zwolnione z obowiązku rejestracji zbiorów danych prowadzonych na potrzeby udziału Rzeczypospolitej Polskiej w Systemie Informacyjnym Schengen oraz Wizowym Systemie Informacyjnym.

Zbiory danych przetwarzanych przez właściwe organy na podstawie przepisów o wymianie informacji z organami ścigania państw członkowskich Unii Europejskiej

Z obowiązku rejestracji zwolnieni są administratorzy danych przetwarzanych przez właściwe organy na podstawie przepisów o wymianie informacji z organami ścigania państw członkowskich Unii Europejskiej. Przewiduje to art. 43 ust. 1 pkt 2c ustawy, który wszedł w życie 1 stycznia 2012 r. Przepisy, o których mowa w tej jednostce redakcyjnej ustawy to ustawa z dnia 16 września 2011 r. o wymianie informacji z organami ścigania państw członkowskich Unii Europejskiej, a do podmiotów, których dotyczy to zwolnienie zaliczyć można Agencję Bezpieczeństwa Wewnętrznego; Centralne Biuro Antykorupcyjne; Policję, Służbę Celną, Straż Graniczną, organy kontroli skarbowej, Żandarmerię Wojskową, ministra właściwego do spraw finansów publicznych, Generalnego Inspektora Informacji Finansowej, izby i urzędy skarbowe oraz prokuratorów.

Zbiory danych, dotyczących osób należących do kościoła lub innego związku wyznaniowego, o uregulowanej sytuacji prawnej, przetwarzanych na potrzeby tego kościoła lub związku wyznaniowego

Na mocy art. 43 ust. 1 pkt 3 ustawy, z obowiązku rejestracji zwolnieni są administratorzy danych dotyczących osób należących do kościoła lub innego związku wyznaniowego, o uregulowanej sytuacji prawnej, przetwarzanych na potrzeby tego kościoła lub związku wyznaniowego.

Zwolnienie to obejmuje zbiory danych prowadzone przez kościoły lub inne związki wyznaniowe, jednakże z zastrzeżeniem, że dane osobowe przetwarzane są na potrzeby tego kościoła lub związku wyznaniowego. A zatem zwolnieniem tym nie są objęte zbiory danych osobowych przetwarzanych przez kościoły lub inne związki wyznaniowe na potrzeby innych podmiotów. Należy podkreślić, iż zwolnienie to dotyczy wyłącznie kościołów i związków wyznaniowych o uregulowanej sytuacji prawnej, co oznacza, że aby podlegać omawianemu zwolnieniu kościół lub związek wyznaniowy musi być wpisany do rejestru kościołów i innych związków wyznaniowych, chyba że jego status jest uregulowany w ustawie odrębnej względem ustawy z 17 maja 1989 r. o gwarancjach wolności sumienia i wyznania.

W opracowanej przez GIODO oraz Sekretariat Konferencji Episkopatu Polski instrukcji „Ochrona danych osobowych w działalności Kościoła Katolickiego w Polsce” (http://www.giodo.gov.pl/data/filemanager_pl/wsp_krajowa/KEP.pdf, str. 12) do przykładowych zbiorów danych zwolnionych na podstawie tego przepisu z obowiązku rejestracji zaliczono zbiory danych:

  • darczyńców pozostających członkami Kościoła,
  • księży,
  • kanoników,
  • biskupów,
  • członków instytutów życia konsekrowanego i stowarzyszeń życia apostolskiego,
  • uczniów szkół katolickich,
  • członków Kościoła nieuczestniczących w życiu liturgicznym Kościoła,
  • osób ochrzczonych.

Zbiory danych przetwarzanych w związku z zatrudnieniem u nich, świadczeniem im usług na podstawie umów cywilnoprawnych, a także dotyczących osób u nich zrzeszonych lub uczących się

Na podstawie art. 43 ust. 1 pkt 4 ustawy, z obowiązku rejestracji zwolnieni są administratorzy danych przetwarzanych w związku z zatrudnieniem u nich lub świadczeniem im usług na podstawie umów cywilnoprawnych, a także dotyczących osób u nich zrzeszonych lub uczących się.

Zwolnienie to obejmuje zarówno pracownicze, jak i niepracownicze typy stosunków zatrudnienia (np. umowy zlecenia, umowy o dzieło). Na podstawie powyższego przepisu, z obowiązku zgłoszenia zbioru danych do rejestracji zwolnieni są administratorzy danych, prowadzący zbiory danych dotyczące zarówno byłych i obecnych pracowników, jak też kandydatów do pracy, ale także dotyczące osób świadczących im usługi na podstawie umów cywilnoprawnych, takich jak np. umowa zlecenia czy umowa o dzieło (źródło: strona internetowa GIODO http://www.giodo.gov.pl/1520050/id_art/1577/j/pl/).

Jednocześnie zwolnienie to dotyczy zbiorów danych dotyczących osób zrzeszonych lub uczących się u administratora danych. Będą to w szczególności zbiory dotyczące członków różnego rodzaju zrzeszeń, stowarzyszeń, klubów sportowych, spółdzielni oraz uczniów (źródło: Sprawozdanie GIODO za rok 2005 str. 40 oraz Sprawozdanie GIODO za rok 2002 str. 329 i 330). Co ciekawe, GIODO za zbiory zwolnione z obowiązku zgłoszenia do rejestracji na podstawie tej przesłanki uznaje również zbiory danych rodziców przedszkolaków (http://www.giodo.gov.pl/1520050/id_art/3159/j/pl/).

Zbiory danych dotyczących osób korzystających z ich usług medycznych, obsługi notarialnej, adwokackiej, radcy prawnego, rzecznika patentowego, doradcy podatkowego lub biegłego rewidenta

Na mocy art. 43 ust. 1 pkt 5 ustawy, z obowiązku rejestracji zwolnieni są administratorzy danych dotyczących osób korzystających z ich usług medycznych, obsługi notarialnej, adwokackiej, radcy prawnego, rzecznika patentowego, doradcy podatkowego lub biegłego rewidenta. Chodzi tutaj o zbiory danych dotyczących klientów notariuszy, adwokatów, radców prawnych, rzeczników patentowych, doradców podatkowych oraz biegłych rewidentów. Należy podkreślić, iż powyższy przepis nie zwalnia z obowiązku rejestracji administratorów danych świadczących pomoc prawną, którzy jednak nie są wpisani na listę adwokatów lub radców prawnych i tym samym nie legitymują się tytułem zawodowym adwokata lub radcy prawnego (źródło: Sprawozdanie GIODO za rok 2006 str. 65 oraz Sprawozdanie GIODO za rok 2002 str. 331). Na podstawie tego przepisu obowiązkowi rejestracji nie podlegają także zbiory danych dotyczących pacjentów, którym udzielane są świadczenia zdrowotne przez podmioty wymienione w ustawie o działalności leczniczej (źródło: strona internetowa GIODO http://www.giodo.gov.pl/1520050/id_art/2959/j/pl/). Na naszym portalu dostępny jest artykuł „Usługi medyczne, służba zdrowia, apteki i firmy farmaceutyczne a obowiązek zgłaszania zbiorów do rejestracji”, w którym kwestia zwolnień z rejestracji zbiorów danych w podmiotach z branży medycznej została szerzej omówiona.

Zbiory danych tworzonych na podstawie przepisów dotyczących wyborów do Sejmu, Senatu, Parlamentu Europejskiego, rad gmin, rad powiatów i sejmików województw, wyborów na urząd Prezydenta Rzeczypospolitej Polskiej, na wójta, burmistrza, prezydenta miasta oraz dotyczących referendum ogólnokrajowego i referendum lokalnego

Z obowiązku rejestracji zwolnieni są administratorzy danych tworzonych na podstawie przepisów dotyczących wyborów do Sejmu, Senatu, Parlamentu Europejskiego, rad gmin, rad powiatów i sejmików województw, wyborów na urząd Prezydenta Rzeczypospolitej Polskiej, na wójta, burmistrza, prezydenta miasta oraz dotyczących referendum ogólnokrajowego i referendum lokalnego. Przewiduje to art. 43 ust. 1 pkt 6 ustawy.

Chodzi tutaj o zbiory danych tworzone na podstawie przepisów następujących ustaw:

– ustawa z dnia 5 stycznia 2011 r. Kodeks wyborczy,

– ustawa z dnia 14 marca 2003 r. o referendum ogólnokrajowym,

– ustawa z dnia 15 września 2000 r. o referendum lokalnym.

Zbiory danych dotyczących osób pozbawionych wolności na podstawie ustawy, w zakresie niezbędnym do wykonania tymczasowego aresztowania lub kary pozbawienia wolności

Z obowiązku rejestracji zwolnieni są administratorzy danych dotyczących osób pozbawionych wolności na podstawie ustawy, w zakresie niezbędnym do wykonania tymczasowego aresztowania lub kary pozbawienia wolności. Przewiduje to art. 43 ust. 1 pkt 7 ustawy.

Zakres podmiotowy tego zwolnienia obejmuje osoby skazane na karę pozbawienia wolności oraz tymczasowo aresztowane. Administratorami tego typu danych mogą być w szczególności zakłady karne oraz organy ścigania i wymiaru sprawiedliwości.

Zbiory danych przetwarzanych wyłącznie w celu wystawienia faktury, rachunku lub prowadzenia sprawozdawczości finansowej

Na mocy art. 43 ust. 1 pkt 8 ustawy z obowiązku rejestracji zwolnieni są administratorzy danych przetwarzanych wyłącznie w celu wystawienia faktury, rachunku lub prowadzenia sprawozdawczości finansowej.

Należy podkreślić, że w przypadku, gdy dane w zbiorze wykorzystywane jest równocześnie w innych celach, to zbiór taki powinien zostać zgłoszony do rejestracji (źródło: strona internetowa GIODO http://www.giodo.gov.pl/1520049/id_art/3058/j/pl/). Przykładowo, jednym z głównych celów przetwarzania danych osobowych klientów może być rzeczywiście wystawienie faktury oraz prowadzenie sprawozdawczości finansowej, ale korzysta się z tych danych, choćby w zupełnie wyjątkowych przypadkach, także dla innych celów, np. dla ustalenia stanu wzajemnych zobowiązań, rozpatrywania składanych reklamacji, formułowania pozwów sądowych. Nawet takie wyjątkowe wykorzystywanie w innym celu przesądza, że nie zachodzi przesłanka zwolnienia z obowiązku rejestracji określona w powyższym przepisie.

Zbiory danych powszechnie dostępnych

Art. 43 ust. 1 pkt 9 ustawy przewiduje, że z obowiązku rejestracji zwolnieni są administratorzy danych powszechnie dostępnych. Przesłanka ta jest spełniona, jeżeli z danymi zawartymi w administrowanym zbiorze może zapoznać się bez szczególnego nakładu sił i środków nieograniczony krąg podmiotów. Co istotne, powszechnie dostępne muszą być wszystkie, a nie tylko niektóre dane zawarte w zbiorze danych. Do omawianej kategorii zalicza się w szczególności zbiór danych osób fizycznych będących udziałowcami spółki z ograniczoną odpowiedzialnością – księga udziałów – (źródło: strona internetowa GIODO http://www.giodo.gov.pl/1520050/id_art/1579/j/pl/) i zbiory danych osobowych umieszczone w sieci Internet (źródło: strona internetowa GIODO – http://www.giodo.gov.pl/1520050/id_art/1562/j/pl/).

Zbiory danych przetwarzanych w celu przygotowania rozprawy wymaganej do uzyskania dyplomu ukończenia szkoły wyższej lub stopnia naukowego

Na mocy art. 43 ust. 1 pkt 10 ustawy z obowiązku rejestracji zwolnieni są administratorzy danych przetwarzanych w celu przygotowania rozprawy wymaganej do uzyskania dyplomu ukończenia szkoły wyższej lub stopnia naukowego. To zwolnienie dotyczy zbiorów danych związanych z przygotowywaniem np. rozprawy doktorskiej lub habilitacyjnej. Zgodnie bowiem z art. 1 ust. 2 ustawy z dnia 14 marca 2003 r. o stopniach naukowych i tytule naukowym oraz o stopniach i tytule w zakresie sztuki stopniami naukowymi są stopnie doktora i doktora habilitowanego. Zauważyć należy, że wyłączenie obowiązku rejestracji nie dotyczy zbiorów danych prowadzonych w związku z badaniami naukowymi niezwiązanymi z rozprawami.

Zbiory danych przetwarzanych w zakresie drobnych bieżących spraw życia codziennego

Na podstawie art. 43 ust. 1 pkt 11 ustawy z obowiązku rejestracji zwolnieni są administratorzy danych przetwarzanych w zakresie drobnych bieżących spraw życia codziennego. Uznaje się, iż są to sprawy niewielkiej wagi, mające raczej charakter drugorzędny dla administratora. Za przykład można podać zbiory danych dotyczące osób  „kontaktowych”, czyli prowadzone w celu ułatwienia kontaktów służbowych zbiory danych osób reprezentujących przedsiębiorców (źródło: strona internetowa GIODO http://www.giodo.gov.pl/1520050/id_art/1461/j/pl/).

Na podstawie powyższego przepisu z obowiązku rejestracji zwolnione są także zbiory danych będące rejestrami przepustek jednorazowych, wydawanych w celu kontroli dostępu do obiektów i pomieszczeń osób przybywających do administratora danych (źródło: Sprawozdanie GIODO za rok 2001 str. 343).

Zbiory danych przetwarzanych w zbiorach, które nie są prowadzone z wykorzystaniem systemów informatycznych, z wyjątkiem zbiorów zawierających dane, o których mowa w art. 27 ust. 1

Z obowiązku rejestracji zwolnieni są administratorzy danych przetwarzanych w zbiorach, które nie są prowadzone z wykorzystaniem systemów informatycznych, z wyjątkiem zbiorów zawierających dane, o których mowa w art. 27 ust. 1.  Jest to zwolnienie przewidziane przez art. 43 ust. 1 pkt 12 ustawy, który wszedł w życie 1 stycznia 2015 r. Zwolnienie to dotyczy zbiorów danych przetwarzanych wyłącznie poza systemem informatycznym, np. papierowych kartotek, ewidencji czy akt (zdaniem GIODO wszelkie materiały gromadzone w formie akt można uznać za zbiór danych –  http://www.giodo.gov.pl/317/id_art/979/j/pl/).

Zwolnienie to ma istotne ograniczenie, a mianowicie nie są nim objęte zbiory zawierające dane zwane „wrażliwymi” lub „sensytywnymi”. Do tych informacji należą:

  • dane ujawniające pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub filozoficzne, przynależność wyznaniową, partyjną lub związkową;
  • dane o stanie zdrowia, kodzie genetycznym, nałogach lub życiu seksualnym;
  • dane dotyczące skazań, orzeczeń o ukaraniu i mandatów karnych, a także innych orzeczeń wydanych w postępowaniu sądowym lub administracyjnym.

W praktyce o wystąpieniu tego zwolnienia można mówić np. w przypadku rejestrów korespondencji przychodzącej i wychodzącej prowadzonych w formie papierowej (książki nadawczo-odbiorcze).  Na stronie internetowej GIODO (http://www.giodo.gov.pl/1520049/id_art/2834/j/pl/) zamieszczona jest co prawda informacja, że takie zbiory podlegają zgłoszeniu do rejestracji, jednak nie podlegała ona aktualizacji od 2009 r., a zatem nie uwzględnia aktualnego stanu prawnego.

Zwolnienie z rejestracji są administratorzy, którzy powołali administratora bezpieczeństwa informacji i zgłosili go GIODO do rejestracji (z wyjątkiem zbiorów zawierających dane, o których mowa w art. 27 ust. 1 ustawy)

Art. 43 ust. 1a ustawy przewiduje, że z obowiązku rejestracji zbiorów danych (z wyjątkiem zbiorów zawierających dane, o których mowa w art. 27 ust. 1 ustawy) zwolnieni są administratorzy danych, którzy powołali administratora bezpieczeństwa informacji i zgłosili powołanie go GIODO do rejestracji.  Należy jednak pamiętać, że zbiory, które korzystają z tego zwolnienia, administrator bezpieczeństwa informacji jest zobowiązany uwzględnić w rejestrze prowadzonym przez siebie na podstawie art. 36a ust. 2 pkt 2 ustawy.

Zbiory doraźne

Do tzw. „zbiorów doraźnych”, czyli – w myśl art. 2 ust. 3 ustawy – zbiorów danych osobowych sporządzanych doraźnie, wyłącznie ze względów technicznych, szkoleniowych lub w związku z dydaktyką w szkołach wyższych, a po ich wykorzystaniu niezwłocznie usuwanych albo poddanych anonimizacji, stosuje się jedynie przepisy rozdziału 5 ustawy (dotyczące zabezpieczenia danych osobowych). Z tego względu w przypadku takich zbiorów nie istnieje obowiązek zgłoszenia ich do rejestracji. GIODO jako przykłady „zbiorów doraźnych” wskazywał np. listę uczestników konferencji naukowej czy listę uczestników wycieczki (źródło: http://www.giodo.gov.pl/393/id_art/1720/j/pl/). Więcej informacji na temat zwolnienia z rejestracji „zbiorów doraźnych” znajduje się w opublikowanym w naszym portalu artykule „Brak obowiązku rejestracji zbiorów danych osobowych na wybranych przykładach”.

UWAGA

Pamiętać należy, że wynikające z art. 43 ust. 1 i 1a ustawy zwolnienia z obowiązku rejestracji, nie zwalniają administratora danych z innych, nałożonych przepisami ustawy obowiązków, w szczególności zaś z obowiązku informacyjnego określonego w art. 24 i 25 ustawy, czy obowiązku zastosowania środków technicznych i organizacyjnych zapewniających ochronę przetwarzanych danych osobowych, odpowiednią do zagrożeń oraz kategorii danych objętych ochroną – o których mowa w rozdziale 5 ustawy oraz przepisach rozporządzenia Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (Dz. U. Nr 100, poz. 1024).

Powyższy artykuł stanowi aktualizację zgodnie z obecnym stanem prawa na dzień 19 kwietnia 2016 r. niegdyś opublikowanego artykułu na naszym portalu. Aktualizacji dokonał Łukasz Zięba.

About Redakcja 310 Articles
Omni Modo to po łacinie „na każdy sposób”. Nazwa naszej firmy to nie przypadek. Na każdy sposób chcemy bowiem pokazywać klientom nasze doświadczenie, profesjonalizm i sukcesy w dziedzinie ochrony danych osobowych.